La Oficina del Comisionado de Información (ICO) del Reino Unido impuso una multa de casi un millón de libras esterlinas a South Staffordshire Plc y South Staffordshire Water Plc luego de determinar que las compañías no implementaron medidas de seguridad adecuadas antes de un ciberataque ocurrido en 2022 y que derivó en la exposición de información personal de miles de personas.
La Oficina del Comisionado de Información del Reino Unido (ICO) anunció una multa de 963.900 libras esterlinas (alrededor de 1,3 millones de dólares) contra los proveedores de agua potable South Staffordshire Plc y South Staffordshire Water Plc tras concluir que ambas compañías incumplieron obligaciones de protección de datos antes de un incidente de ransomware ocurrido en 2022. Según el organismo, las deficiencias permitieron el acceso no autorizado a sistemas corporativos y a información personal de clientes y empleados.
El regulador indicó que el ataque afectó datos correspondientes a 633.887 personas. Entre los datos comprometidos figuraban datos personales tales como el nombre completo, la dirección física, la dirección de correo electrónico, fecha de nacimiento, sexo y número de teléfono. Así mismo, figuraban datos de trabajadores relacionados con información de recursos humanos, incluidos los números de la seguridad social. La brecha también incluye datos de clientes, como la información de la cuenta (incluidos el nombre de usuario y la contraseña para los servicios en línea de South Staffordshire Water) y el número de cuenta bancaria y el código de clasificación. Y en algunos casos especiales de clientes inscritos en el Registro de Servicios Prioritarios de ese país, se disponía de información a partir de la cual se podían inferir discapacidades. La ICO señaló que parte de la información fue publicada posteriormente en la dark web.
La investigación del organismo concluyó que las empresas no contaban con medidas técnicas y organizativas apropiadas para proteger los sistemas que almacenaban información personal. El reporte de la Ico señala que “South Staffordshire no implementó los controles de seguridad adecuados exigidos por la legislación británica de protección de datos”, y agrega que las compañías no aplicaron monitoreo suficiente sobre cuentas privilegiadas, utilizaron sistemas heredados y mantuvieron vulnerabilidades conocidas sin corregir durante períodos prolongados.
La ICO informó que los atacantes, una vez dentro del sistema, lograron permanecer en la red corporativa durante varios meses antes del despliegue del ransomware. Según el medio especializado The Record, la intrusión inicial habría ocurrido en febrero de 2022 y el malware fue ejecutado en agosto del mismo año. El medio indicó además que los atacantes accedieron a servidores críticos y se movieron lateralmente dentro de la infraestructura afectada.
El organismo regulador afirmó que las medidas de seguridad de estas empresas fueron claramente insuficientes para la naturaleza de la información personal que tenían. La autoridad británica también sostuvo que las compañías dejaron partes de sus sistemas vulnerables a explotación conocida.
De acuerdo con Help Net Security e Infosecurity Magazine, la multa original considerada por la ICO alcanzaba las 1,35 millones de libras esterlinas, aunque posteriormente fue reducida a un poco menos de 1 millón de libras. El regulador indicó que tomó en consideración la cooperación de las empresas durante la investigación y las acciones posteriores implementadas para mejorar la seguridad de sus sistemas.
South Staffordshire Water declaró que el ataque no afectó el suministro de agua potable ni la calidad del servicio entregado a clientes. La compañía indicó además que inició un programa de modernización de seguridad informática tras el incidente y que notificó a las personas potencialmente afectadas por la exposición de datos personales.